授予数据库权限(同一帐户)

授予数据库权限(控制台、同一帐户)

1. 打开 AWS Lake Formation 控制台位于 https://console.amazonaws.cn/lakeformation/、和以数据湖管理员或数据库创建者身份登录。

   数据库创建者是已被授予创建数据库的权限的主体。

2. 执行下列操作之一：

   • 在导航窗格中,选择 数据权限. 然后选择 授予.

   • 在导航窗格中，选择 Databases (数据库)。然后,在 数据库 页面,选择一个数据库,并在 操作 菜单,低于 权限,选择 授予.

   注意

   您可以通过其资源链接授予对数据库的权限。为此,在 数据库 页面,选择资源链接,并在 操作 菜单,选择 对目标授予. 要授予资源链接本身的权限,请参阅 授予资源链接权限.

3. 在 授予权限 对话框,确保 我的帐户 平铺被选中。然后提供以下信息:

   • 对于 IAM用户和角色,请选择一个或多个主体。

   • 对于 SAML和亚马逊 QuickSight 用户和组,输入一个或多个Amazon资源名称(ARN) users or groups federated through SAML 或 ARNs 为 Amazon QuickSight 用户或组。

     一次输入一个ARN,然后按 输入 之后。有关如何构建 ARNs,请参阅 Lake Formation 授予和撤销 AWS CLI 命令.

     注意

     Lake Formation 与集成 Amazon QuickSight 支持 Amazon QuickSight 仅限EnterpriseEdition。

   • 如果 数据库 字段,请选择要在上授予权限的数据库。

   • 对于 数据库权限,选择要授予的权限。

   • (可选)适用于 授予权限,选择您希望主体能够授予他人的权限。

   

4. 选择 授予.

授予数据库权限(AWS CLI,同一账户)

• 运行 grant-permissions 命令,指定元数据数据库或 Data Catalog 作为资源,具体取决于授予的权限。

  在以下示例中,请更换 <account-id> 有效 AWS 帐户ID。

  此示例授予 CREATE_DATABASE 到用户 datalake_user1。因为授予此权限的资源是 Data Catalog,命令指定了一个空 CatalogResource 结构作为 resource 参数。

  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}' --profile datalake_admin

  的 profile 选项表示该命令应作为用户运行 datalake_admin。这假设 config 和 credentials 请求者的文件中的文件 ~/.aws 目录包含用户的配置文件 datalake_admin。有关更多信息,请参阅 AWSCLI配置变量 在 AWS CLI Command Reference.

  下一个示例授予 CREATE_TABLE 在数据库中 retail 到用户 datalake_user1.

  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}' --profile datalake_admin
  

  有关更多示例，请参阅 Lake Formation 权限参考。